Cleptogiciels : Lumma fait un retour en force

Fin mai 2025, Microsoft annonçait une vaste opération contre le cleptogiciel (ou infostealer et maliciel dérobeur) Lumma.

L’éditeur expliquait alors que « plus de 1 300 domaines saisis par Microsoft, ou transférés à ce dernier (y compris 300 domaines pour lesquels les forces de l’ordre ont pris des mesures avec l’aide d’Europol), seront redirigés vers les sinkholes de Microsoft. Cela permettra à la DCU de Microsoft de fournir des informations exploitables, afin de continuer à renforcer la sécurité des services de l’entreprise et de contribuer à la protection des utilisateurs en ligne. Ces informations aideront également les partenaires des secteurs public et privé à suivre, enquêter et remédier à cette menace ».

Ces noms de domaines étaient liés à l’infrastructure de commande et de contrôle de Lumma. Leur nombre était même plus élevé : près de 2500. C’est l’administrateur de Lumma lui-même qui l’avait alors révélé.

Et justement, dans un message repris le 23 mai, il expliquait que « contrairement aux opinions, rumeurs et articles publiés par le FBI lui-même, celui-ci n’a pas saisi notre serveur (du moins parce qu’il est situé dans un pays où il ne peut absolument pas le saisir), mais il a piraté le serveur à l’aide d’un exploit inconnu et formaté tous les disques ».

Dans la foulée, les chercheurs de Check Point ont suivi l’évolution de l’activité associée à Lumma et ont trouvé plusieurs indications de sa résilience : « autre signe que le voleur d’informations Lumma est à terre, mais pas hors jeu, les informations volées sur les ordinateurs compromis continuent d’apparaître sur le marché en ligne. Par exemple, deux jours après l’opération, un bot Telegram automatisé, qui vend les identifiants volés par Lumma, proposait à la vente 95 journaux provenant de 41 pays. Au 29 mai, ce même bot contenait 406 journaux, ce qui montre une augmentation constante ».

Depuis, la situation ne s’est guère améliorée. Mi-novembre, les chercheurs de Trend Micro relevaient une augmentation de l’activité de Lumma concomitante avec l’implémentation de techniques de fingerprinting des navigateurs dans le cadre de ses techniques de commande et contrôle (C2), en s’appuyant sur du code JavaScript.  

Tout récemment, les chercheurs de Bitdefender ont « découvert une recrudescence de l’activité de LummaStealer, montrant comment l’un des logiciels malveillants les plus prolifiques au monde, en matière de vol d’informations, a réussi à survivre malgré avoir été presque démantelé par les forces de l’ordre il y a moins d’un an ».

Selon eux, « les campagnes récentes utilisent de plus en plus souvent de fausses techniques CAPTCHA (“ClickFix”), qui convertissent les interactions Web normales des utilisateurs en exécution directe de commandes sur les systèmes des victimes ».

Et là, « au cœur de bon nombre de ces campagnes se trouve CastleLoader, qui joue un rôle central dans la propagation de LummaStealer à travers les chaînes de distribution. Son modèle d’exécution modulaire en mémoire, son obscurcissement étendu et sa communication flexible de commande et de contrôle le rendent particulièrement adapté à la distribution de logiciels malveillants à cette échelle ».

Les chercheurs font état de recouvrements entre l’infrastructure de CastleLoader et celle de Lumma, « suggérant que les deux équipes de développement se coordonnent ou, à tout le moins, partagent des fournisseurs de services ».